用于在与智能手机耦合的移动单元和服务器之间受保护地通信的方法和系统与流程

本发明涉及用于在与智能手机耦合的移动单元和服务器之间受保护地通信的一种方法和一种系统以及一种计算机程序产品。

背景技术：

越来越多地示出如下情况：移动设备、如智能手机起对于另外的移动设备、例如智能手表的基础或联接点的作用。虽然也将操作方案和安全功能从智能手机传递到智能手表。但是却出现如下问题：在界面中和在计算功率中的差异方面，在智能手表上是否可以确保对安全性和操作员友好性的所有要求。

US 2009/0271621 A1公开了一种具有用于智能手机的简化的登录功能的方法，其中，首先将登录数据和PIN传递到服务器，并且该服务器检验登录数据。在成功检验的情况下，包括登录数据和PIN的加密数据被发送到智能手机，其因此在重新登录时仅发送PIN和加密数据。

US 2014/168071 A1公开了一种用于将个人数据从计算机转移到用户附近的另外的设备的方法，其中，用户的存在性通过基于生物特征的存在性识别来确定。

US 2014/181954 A1公开了一种用于将数字身份从服务器传递到移动设备、诸如智能手机和/或智能手表的方法。例如，智能手机给智能手表配备完全的数字身份，从而智能手表可以像智能手机那样运行。

技术实现要素：

本发明要解决的技术问题是，安全地设计和简化在与智能手机耦合的移动单元和服务器之间的通信。

上述技术问题通过根据权利要求1的方法、根据权利要求8的系统或根据权利要求12的计算机程序产品来解决。

根据本发明的用于在与智能手机耦合的移动单元和服务器之间受保护地通信的方法，其中通过智能手机借助登录数据可以访问服务器的服务，具有如下步骤：

-在与登录数据相关联的条件下第一次输入识别码；

-定义移动单元的机密码；

-在智能手机中的安全存储器中存储登录数据、识别码和机密码；

-在移动单元上输入识别码；

-将识别码和机密码从移动单元传递到安全存储器；

-当传递的识别码和传递的机密码与存储的识别码和存储的机密码一致时，从安全存储器读取登录数据的至少一部分；和

-将登录数据的至少一部分从智能手机传递到服务器。

根据本发明的方法具有如下优点：通过替代密码在移动单元上简化地输入识别码、如PIN，允许在最大的安全性的情况下的简单操作。在使用移动单元、例如智能手表来使用安全的账户(其中，密码必须被输入)的任何地方，在此介绍的方法结合智能手机或类似的移动设备可以简化使用。安全性完全被保证，因为仅在智能手机中的安全存储器中存储登录数据、识别码和机密码。不在智能手机或移动单元上的程序、例如APP中存储数据。机密码为此用于明确地识别移动单元，从而结合识别码可以在智能手机或其安全存储器上进行安全登录。安全存储器例如可以是受密码保护的密钥存储器，(即Schlüsselspeicher)。但是总体上，安全系统将至少与各自的识别码有关的登记通过识别码保护。

可以设置，智能手机中的安全存储器与数据和/或程序存储位置分离。这提高了安全性，因为安全存储器允许更高的安全性措施并且作为程序或软件、诸如app提供。

可以进一步设置，登录数据包括用户名和密码，其中，登录数据的一部分是密码。该类型的登录数据被广泛使用，从而产生与存在的系统的尽可能的兼容性。可以设置，仅登录数据中的密码存储在存储器中。通常，用户名是公知的，从而通过该措施可以节约安全存储器中的存储空间。用户名可以存储在另外的存储器中或程序中。

移动单元可以是智能手表或可佩带的计算机。这种单元，诸如数据眼镜或数据隐形眼镜，在重要性上增加，并且允许明显简化的用户输入。然而，这种移动单元的用户接口大多不太适用于输入密码，从而在此提出的解决方案很好地提供了，通过更简单的识别码、例如四位的PIN来替代密码。

可以设置，在智能手机上第一次输入识别码。在第一次输入中可以更舒适和也更安全的是，识别码直接输入到智能手机中，其存储在那里。替换地，通过移动单元输入并且随后传递是可能的。

机密码可以包括网络标志。因为用于通信的移动单元包括至少一个针对网络的接口，可以使用明确的标志，例如蓝牙ID或MAC地址(媒体接入控制地址)。该网络标志已经存在，并且是每个单个网络适配器的硬件地址，以便明确地在网络中识别该网络适配器。因此，可以以很小的开销实现移动单元的明确识别。

可以设置，在传递登录数据的至少一部分之后，在服务器与移动单元之间的服务被启动。所描述的方法步骤可以超越用于访问或准备服务的通信，并且包括服务例如在线服务的启动和运行。例如在车辆中，例如开门、停车等，或者在家用设备或智能家居安装中，例如洗衣机或冰箱，已经存在这种服务。

根据本发明的用于在与智能手机耦合的移动单元和服务器之间受保护地通信的系统，其中，通过智能手机借助用户标志可以访问服务器的服务，其特征在于，移动单元包括机密码，智能手机和/或移动单元构造为用于在与用户标志相关联的条件下第一次输入识别码，智能手机具有安全存储器，其构造为用于存储用户标志、识别码和机密码，移动单元构造为用于将在移动单元上重新输入的识别码和机密码从移动单元传递到安全存储器，智能手机构造为用于当传递的识别码和传递的机密码与存储的识别码和存储的机密码一致时从安全存储器读取用户标志的至少一部分，并且用于将用户标志的至少一部分从智能手机传递至服务器。与之前描述的相同的优点和修改是适用的。

移动单元可以是智能手表或可佩带的计算机。这种单元，诸如数据眼镜或数据隐形眼镜，在重要性上增加，并且允许明显简化的用户输入。然而，这种移动单元的用户接口大多不太适用于输入密码，从而在此提出的解决方案很好地提供了，通过更简单的识别码、例如四位的PIN来替代密码。

可以设置，移动单元和智能手机通过无线电网络通信。这种连接是广泛可用的，并且具有足够的安全标准，从而存在特别好的兼容性。

在移动单元和智能手机之间和/或在智能手机和服务器之间的连接可以通过加密方法，例如通过使用对称或不对称的密钥来保护。因此，安全性可以被进一步提高。

根据本发明的计算机程序产品包括程序代码，用于当程序产品在用于受保护地通信的装置或系统上实施时执行之前描述的方法。与之前描述的相同的优点和修改是适用的。

本发明的另外的优选的设计方案由剩余的、在从属权利要求中提到的特征给出。

只要在个别情况下没有另外地说明的话，本发明的不同的在该申请中提到的实施方式可以利用优点相互组合，

附图说明

随后在实施例中借助附属的附图对本发明进行解释。附图中：

图1示出了用于在与智能手机耦合的移动单元和服务器之间受保护地通信的系统的示意图；和

图2示出了用于在与智能手机耦合的移动单元和服务器之间受保护地通信的方法的示意图。

具体实施方式

图1示出了用于与服务器12和智能手机14受保护地通信的系统10的示意图。服务器12或后端提供了例如用于车辆、家用设备或类似设备的在线服务。智能手机12也可以是可携带的计算机，例如平板计算机或类似设备。通过通信连接16，服务器12和智能手机14相互通信。通信连接16可以通过无线电网络、例如移动无线电网络来构建。通信连接16可以以加密方法来保护。

移动单元，在此是智能手表18，与智能手机14耦合，并且通过智能手机14也与服务器12耦合。移动单元也可以是可佩带的计算机或可佩带的设备，即可携带设备，例如智能眼镜或布置在衣服中的计算单元。

智能手表18和智能手机14通过通信连接20相互通信。通信连接20通常是短距离无线电，例如蓝牙、近场通信或类似通信。传递有效范围在此位于几厘米到几米的范围内。通信连接20可以利用加密方法来保护。

为了可以使用由服务器12提供的服务，程序22位于智能手机14上。程序22可以例如是一种app，其从服务器12或另外的源下载并且安装在智能手机14上。软件或程序22可以是独立的单元，或者由也可以在硬件中实施的多个元件组成。

此外，智能手机14包含安全存储器24，其例如利用密码或密钥来保护，并且用于登录的登录数据26或对服务器12的服务的访问位于存储器中。登录数据26包括用户名和对应的密码。

此外，在安全存储器24中存储识别码28。在与智能手机14或智能手表18中的登录数据26相关联的条件下输入识别码28，诸如例如具有四个数字的PIN(个人识别号)。识别码28用于在智能手表18上简化地输入进入标志，智能手表通常具有基本用户界面。如后面结合图2描述的那样，识别码28的输入替代登录数据26的大多更复杂的密码的输入。

此外，在安全存储器24中存储机密码30。机密码30是智能手表18的明确的特征。这可以例如是网络标志，例如蓝牙ID或MAC(媒体接入控制)，或也是伪随机数。

现在，借助图2描述用于在与智能手机14耦合的智能手表18和服务器12之间受保护地通信的方法。

首先在一定程度上，在与智能手机14中的登录数据26相关联的条件下输入识别码28作为准备，并且与登录数据26和机密码30一起存储在安全存储器24中。识别码28可以在智能手机14中被输入，或者在智能手表18中被输入，并且然后为了上面描述的存储被传递到智能手机14。

现在当用户想利用其智能手表18使用服务器12的服务，例如打开其车辆时，其首先在智能手表18上输入识别码28。识别码28于是与机密码30一起被传递到智能手表14上。

在智能手表14中，利用识别码28和机密码30访问安全存储器24。在成功检验数据的情况下，即在借助识别码28和机密码30在安全存储器26上实现进入授权的情况下，从安全存储器读取针对智能手机14和由此智能手表18的用户的登录数据26并且将其传递到服务器12。

在服务器12上检验登录数据26，即用户名和密码，并且在肯定的检验中，所要求的服务32随着消息或数据从服务器12传递到智能手表18被启动。如果在该服务32中得到设置，则智能手表18将消息或数据34发送回服务器。在服务器12和智能手表18之间的通信可以通过智能手机14运行。例如，服务器12和智能手机14可以通过移动无线电协议通信，并且智能手机14可以与智能手表18通过蓝牙低能量连接来通信。替换地，可以直接在服务器12和智能手表18之间通信，也就是说在智能手机14没有整合到服务32的实施中的情况下实现。在该情况下可能需要，智能手机14将智能手表18的地址信息传递到服务器12。

因此，通过在智能手表18上简单地输入识别码28、如PIN可以实现在服务器12上的验证。此外，该方法是特别安全的，因为当在智能手机14上输入识别码时，识别码28仅保留在那里。所有重要的数据，诸如登录数据26、识别码28和机密码30仅存储在智能手机14的安全存储器24中，并且没有存储在智能手表18上或程序22中。

附图标记列表

10 系统

12 服务器

14 智能手机

16 通信连接

18 智能手表

20 通信连接

22 程序

24 安全存储器

26 登录数据

28 识别码

30 机密码

32 服务

34 数据